CISO-de kolm peamist prioriteeti 3. aastal

Uue aasta alguses kogunevad CISOd oma turvameeskondade ja ettevõtte juhtkonnaga, et selgitada välja 2024. aasta peamised prioriteedid ja kuidas neid probleeme lahendada. Sel aastal – arvukate uute privaatsusseaduste, väärtpaberi- ja börsikomisjoni määruste, küberohtude ja uute tehnoloogiatega, mis lubavad neid ohte lahendada – võivad nad kaotada une, püüdes küberturvalisuse strateegia vanasõnalisi Tetrise osi optimaalselt virnastada.

Kõigist CISO tähelepanu eest konkureerivatest väljakutsetest võib uuel aastal kõige keerulisem olla isiklik ja juriidiline vastutus andmerikkumiste eest, mille SEC on CISO-dele pannud, ütleb Nicole Sundin, Axio tootejuht. "Kuna CISO-d tõstetakse nende riskide arutamiseks koosolekuruumi, vajavad nad enda kaitsmiseks ja hoolsuskohustuse näitamiseks registreerimissüsteemi," märgib ta.

"Praegu peavad CISOd neid vestlusi, teevad raskeid valikuid ja tegutsevad nii, nagu nad vajalikuks peavad, kuid need võivad olla dokumenteeritud, kuid ei pruugi olla," ütleb ta. „Üksainsa tõeallika või salvestussüsteemi olemasolul saavad CISOd end paremini kaitsta. Vastasel juhul näeme jätkuvalt kõrgetasemelisi juhtumeid, kus CISO, kellel pole seda [sündmuste protokolli ja nende toimumise põhjust], langeb.

1. Kaitske end isikliku vastutuse eest

Sundin võrdleb CISO-sid tervishoiujuhtidega, kes peavad üksikasjalikku arvestust iga tegevuse kohta, mida nad võtavad, et kaitsta end kuritegude eest. Arvestades, et paljud CISOd ei ole ettevõtete direktorite ja ametnike (D&O) kindlustuspoliisidega kaetud, vastutaksid nad isiklikult uued SEC-reeglid kui peaks juhtuma rikkumine. See hõlmab isiklikku vastutust nii andmete kadumisega seotud rikkumise kui ka andmete kadumiseta privaatsuse rikkumise eest.

Sundin soovitab CISOdel võtta võimalikult kiiresti järgmised sammud:

CISO-d peavad samuti olema aktiivsed osalejad, kui läbirääkimised küberkindlustuspoliiside üle, ütleb Sundin. Tavaliselt peavad CISOd allkirjastama selle, mille peanõustaja või finantsjuht lõpuks läbi räägivad, kuid ilma otsese panuseta – oma soovituste kirjaliku protokolliga – võivad nad saada juriidiliselt vastutavaks, et kaitsta mittekindlustuskõlblikku välistamist.

2. Jälgige esilekerkivaid privaatsusohte

Küberkindlustusandjad keskenduvad 2024. aastal privaatsusrikkumistele, ennustab riikliku kindlustusmaakleri Woodruff Sawyeri kübervastutuse asepresident David Anderson. Andersoni sõnul eeldatakse, et küberkindlustusandjad seda teevad karmistada määrusi Ta märgib, et organisatsioonid rakendavad privaatsete andmete ja privilegeeritud kontode, sealhulgas teenusekontode turvalisust, kipuvad olema üleprivilegeeritud ja sageli pole nende paroole aastaid muudetud.

"Kui te ei järgi privaatsusseadusi ja -määrusi, mis kehtivad teie ettevõttele, teie jurisdiktsioonile, millele teie mõistlik standard kehtib, ei kata me asjaolu, et jagate andmeid viisil, mis ei ole kooskõlas teie privaatsuspoliitikaga või ei ole seadusega kooskõlas, ”ütleb Anderson.

Tsiteerides karmistamist privaatsusseadused Ta ütleb, et sellistes osariikides nagu California ja Washington nõuavad küberkindlustusandjad organisatsioonidelt mitte ainult kõikehõlmavate privaatsuspoliitikate kehtestamist, vaid ka suutma näidata, et nad järgivad oma poliitikat. Kui organisatsioonid ei suuda oma privaatsuspoliitikaga kaitstud andmeid kaitsta, võivad nad jääda ilma katteta.

"See võib olla kindlustamatu risk," ütleb ta. "Need nõuded on kaitse ja lahendamise seisukohast kohutavalt kallid."

"Kinnitaja otsib [küberkindlustuse taotlusel] enamat kui lihtsalt jah või ei märkeruutu. Anderson hoiatab, et peate näitama, kus need juhtelemendid on manustatud [ja] kus sunnite oma müüjaid järgima sama hoolt, nagu teie organisatsiooni privaatsuspoliitika ette näeb.

3. Hallake kolmanda osapoole riske

Kuigi privaatsusohud on 2024. aastal direktorite nõukogu prioriteetide hulgas tänu uutele SEC-määrustele ja küberkindlustusandjate nõuetele, on ka teised tarneahela ohud. Kolmanda osapoole riskijuhtimise (TPRM) pakkuja Prevalent globaalsete toodete ja teenuste vanem asepresident Alastair Parr ütleb, et organisatsioonid peaksid oma hankeprogramme üles ehitama, tuvastades partnerid järgmistest aspektidest: Kuidas saab see kolmas osapool meile operatiivvastupidavuse eeliseid pakkuda?

Parr ütles, et tulevikku mõtlevad visionäärid vaatlevad kolmanda osapoole riskijuhtimist (TPRM) ja andmeid tervikuna ning seda, mida andmerikkumised tähendavad. Andmetele endile keskendumise asemel soovitab ta kasutada terviklikku lähenemist, nimetades seda funktsionaalseks tarnija riskijuhtimise raamistikuks.

"Niipea, kui juhatus hakkab sellest mõtlema kui ristfunktsionaalsele, on terviklikum programm - rohkem elutsükkel -, mis muudab küsimusi, mida nad peaksid küsima," ütleb ta. "Nad peaksid hankega seotusest põnevil olema. Nad ei peaks andmete pärast kartma.

Parr ütleb, et enamik ettevõtteid on tänapäeval hädas TPRM-iga, kuna nad keskenduvad rohkem andmete haldamise kuludele kui eeskirjade järgimisele, töökindlusele, kaubamärgi mõjule või andmete rikkumistega seotud maineriskile.

Tulevikku vaadates

Suurenenud reguleerimise tingimustes vastutavad CISOd nüüd isiklikult andmetega seotud rikkumiste eest, olenemata sellest, kas need on seotud andmete kadumise või privaatsuse rikkumisega. Vastuseks sellele karmistavad küberkindlustusandjad oma reegleid selle kohta, kuidas organisatsioonid peaksid kaitsma privaatseid andmeid ja privilegeeritud kontosid. Ja kõik see toimub reguleerivate asutuste, kindlustusandjate ja C-komplekti suurema tähelepanuga tarneahela ohtudele.

Nende väljakutsetega toimetulemiseks järgmisel aastal peavad CISOd kaitsma oma organisatsiooni ja iseennast, luues süsteemi asjakohaste tegevuste ja otsuste dokumenteerimiseks, kehtestades ja jõustades kõikehõlmavaid ja järjepidevaid privaatsuspoliitikaid ning hinnates oma kolmandatest osapooltest partnereid tegevuse vastupidavuse osas.

Töötades kogu organisatsioonis hanke-, õigus- ja turvameeskondadega, saavad CISO-d leevendada tarneahela ohtude ja kindlustuskulude võimalikku mõju oma ettevõttele ning katta end ka ise.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024